KVKK BÜLTEN- EKİM 2024

Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2024 Ekim ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi ve “Standart Sözleşme Bildirim Modülü Hakkında Kamuoyu Duyurusu” yayımlanmıştır.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Kilis 7 Aralık Üniversitesi

Veri sorumlusu sıfatını haiz olan Kilis 7 Aralık Üniversitesi tarafından Kurul’a iletilen veri ihlali bildiriminde; ihlalin kaynağının ve nasıl gerçekleştiğinin henüz tespit edilemediği belirtilmiştir. Yetkisiz erişim sonucunda veri gizliliği ihlal edilmiş olup ihlalin başlama tarihi bilinmemekle birlikte, 25.09.2024 tarihinde sona erdiği bildirilmiştir. İhlal, Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından 24.09.2024 tarihinde yapılan bildirim üzerine tespit edilmiştir. İhlalden etkilenen kişi grupları arasında öğrencilerin, müşterilerin ve potansiyel müşterilerin yer aldığı, ihlalden etkilenen kişisel verilerin Yatay Geçiş Tablosu’nda T.C. kimlik numarası, ad, soyadı, adres ve telefon numarası, Sağlık Kültür Spor Kayıt Tablosu’nda T.C. kimlik numarası, ad, soyadı ve telefon numarası, Halı Saha Rezervasyon Tablosu’nda ad, soyadı, mail ve telefon numarası, Formasyon Tabloları’nda ise T.C. kimlik numarası, ad, soyadı ve telefon numarası olduğu ifade edilmiştir. İhlale konu olan tablolarda toplamda 2.747 kişinin verileri bulunduğu belirtilmiştir.

Atılım Üniversitesi

Veri sorumlusu sıfatını haiz olan Atılım Üniversitesi tarafından Kurul’a iletilen veri ihlali bildiriminde; siber saldırganların veri sorumlusu sistemlerine yetkisiz erişim sağladığı ve bu sistemlerde bulunan bir servis aracılığıyla Yükseköğretim Kurulu Başkanlığı’na ait Yükseköğretim Bilgi Sistemi (“YÖKSİS”) üzerinden bazı kişilerin eğitim bilgilerini sorguladığı belirtilmiştir. İhlalin 09.05.2024 tarihinde başladığı ve 05.06.2024 tarihinde sona erdiği, ihlale konu servis üzerinden yalnızca aktif durumda olan (okumakta olan) öğrencilerin YÖKSİS eğitim bilgilerinin (T.C. kimlik numarası ile) sorgulanabildiği, ancak ihlalden etkilenen kişi sayısının net olarak tespit edilemediği bildirilmiştir.

Lokman Hekim Üniversitesi

Veri sorumlusu sıfatını haiz olan Lokman Hekim Üniversitesi tarafından Kurul’a iletilen veri ihlali bildiriminde; veri sorumlusunun Natro isimli firmadan hosting hizmeti aldığı, veri sorumlusunun kullandığı natro.com müşteri hesabının giriş bilgilerinin siber saldırganlarca ele geçirilmesi ve hesaba yetkisiz erişim sağlanması sonucunda ihlalin gerçekleştiği belirtilmiştir. İhlalin 05.10.2024 tarihinde başladığı ve 06.10.2024 tarihinde sona erdiği ifade edilmiştir. İhlalden etkilenen kişi grupları arasında öğrenciler ve çalışanlar yer almakta olup, etkilenen kişisel veriler; ad, soyadı, T.C. kimlik numarası, adres, telefon numarası, e-posta adresi ve şifrelenmiş (MD5) web sitesi giriş parolalarıdır. İhlalden etkilenen kişi sayısının 2.308 olduğu belirtilmiş ve ilgili kişilerin, veri sorumlusunun e-posta adresi ve çağrı merkezi aracılığıyla ihlal hakkında bilgi alabilecekleri bildirilmiştir.

GRC LEGAL Yorumu: Ekim ayına ait veri ihlali bildirimlerine bakıldığında, Kilis 7 Aralık ve Atılım Üniversitesi’nin bilişim sistemlerine dışarıdan gerçekleştirilen müdahaleler sonucunda yetkisiz erişimler yaşandığı ve bu erişimlerin veri ihlallerine yol açtığı görülmektedir. Kanun uyarınca, veri sorumlularına getirilen her türlü teknik ve idari tedbiri alma yükümlülüğü kapsamında, özellikle bilişim sistemlerine dışarıdan gelecek saldırılara karşı etkili önlemler almak hayati önem taşımaktadır.

Veri sorumlularının, bilişim sistemlerinde kullanılan yazılımları düzenli olarak kontrol etmeleri, ağ güvenliğini sağlamak amacıyla periyodik sızma testleri yapmaları ve bu testlerden elde edilen sonuçlara göre gerekli iyileştirmeleri yapmaları gerekmektedir. Ayrıca, sistemlerin güvenliğinin sağlanması için tüm yazılım ve donanım güncellemelerinin zamanında yapılması, kişisel veri ve siber güvenlik farkındalığını artıracak eğitim ve bilgilendirme faaliyetlerinin düzenlenmesi gibi idari tedbirlerin alınması da ihmal edilmemelidir.

Lokman Hekim Üniversitesi tarafından gerçekleştirilen veri ihlal bildirimi incelendiğinde, ihlalin hosting süreçlerinde çalışılan iş ortağı bünyesinde meydana gelen siber saldırıdan kaynaklandığı görülmektedir. Veri sorumlularının veri işleyenler ile ilişkilerinin yönetimini de sıkı bir hukuki çerçeveye bağlamaları elzemdir. Bu kapsamda, idari bir tedbir olarak alınması önem arz eden diğer aksiyonlardan biri de veri işleyen sıfatını haiz iş ortakları ile akdedilecek sözleşmelere ek Veri İşleyen Protokolü imzalanması ve tedarikçilerle İş Ortağı Farkındalık Formu gibi araçlarla veri güvenliği olgunluk değerlendirmesinin yapılmasıdır. Böylelikle, Kanun’un 12. maddesi ile veri sorumlusu ve veri işleyenlere getirilen müşterek sorumluluk kapsamında rücu ilişkisi gündeme getirilebilecektir.

Bu tür teknik ve idari tedbirlerin etkili bir şekilde uygulanması olası veri ihlallerinin önlenmesine katkı sağlayacaktır. Böylece hem kişisel verilerin korunması sağlanacak hem de Kanun çerçevesindeki yükümlülükler yerine getirilmiş olacaktır.

Standart Sözleşme Bildirim Modülü Hakkında Kamuoyu Duyurusu

Bilindiği üzere, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kapsamında Kanun’un yurt dışı aktarımını ele alan 9. maddesinde yapılan değişiklikle standart sözleşmeler, kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği bir uygun güvence yöntemi olarak öngörülmüştür. Mezkûr madde hükmü aynı zamanda, veri aktarana ya da tarafların tercihine göre belirleyeceği ilgili tarafa, standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kişisel Verileri Koruma Kurumu’na bildirilmesi yükümlülüğünü getirmektedir.

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, bildirimlerin fiziki olarak, kayıtlı elektronik posta (KEP) adresiyle ya da Kurul tarafından belirlenen diğer yöntemlerle yapılabileceğini düzenlemektedir. Bu çerçevede, Kurul’un 17 Ekim 2024 tarihli ve 2024/1793 sayılı kararı ile, veri sorumlusu ve veri işleyenlerin bildirim yükümlülüklerini internet üzerinden daha hızlı ve etkin bir şekilde yerine getirebilmeleri amacıyla Standart Sözleşme Bildirim Modülü (“Modül”) kullanıma sunulmuştur.

Modül ile birlikte Standart Sözleşme Bildirim Kılavuzu yayımlanmış olup standart sözleşme bildirimlerinin nasıl gerçekleştirileceğine yönelik bir yönlendirmede bulunulmuştur. Bu bildirimlerin gerçekleştirilebilmesi adına veri sorumlularının ve veri işleyenlerin yetkili bir kişi ataması gerçekleştirmesi gerekmektedir. Keza, Modül çerçevesinde yürütülecek sözleşme ekleme, sözleşme düzenleme ve sair faaliyetler kapsamında yetkili kişi ile giriş bir ön koşul olarak öngörülmektedir.

GRC LEGAL Yorumu: Modül’ün kullanıma sunulması hem iş süreçlerini hızlandıracak hem de şirketlerin yükümlülüklerini yerine getirirken yaşayabileceği operasyonel zorlukları azaltacaktır. Modül ile kurumlar için süreçlerin daha kolay hale gelmesi hedeflenmiştir. Bu anlamda özellikle yurt dışına kişisel veri aktarımı gerçekleştiren veri sorumlularının yayınlanan bu yeni Modül’e bir an önce hakimiyet sağlayarak sözleşme bildirimlerini bu sistem üzerinden gerçekleştirmesi sağlıklı olacaktır.